Seitse aastat pärast viimase olulise haru moodustamist liiklusanalüüsi ja võrgu sissetungimise tuvastamise süsteemi väljalase , mida varem levitati Bro nime all. See on esimene oluline väljalase pärast seda , mis on toime pandud seetõttu, et nime Bro seostati samanimelise marginaalse subkultuuriga, mitte aga autorite kavandatud vihjena George Orwelli romaanist "1984" pärit "Suurele vennale". Süsteemi kood on kirjutatud C++ ja BSD litsentsi alusel.
Zeek on liiklusanalüütika platvorm, mis keskendub peamiselt, kuid mitte ainult, turvasündmuste jälgimisele. Moodulid on ette nähtud erinevate rakendustaseme võrguprotokollide analüüsimiseks ja parsimiseks, võttes arvesse ühenduste seisu ja võimaldades luua üksikasjalikku logi (arhiivi) võrgutegevusest. Seireskriptide kirjutamiseks ja anomaaliate tuvastamiseks pakutakse välja domeenispetsiifiline keel, võttes arvesse konkreetsete infrastruktuuride eripära. Süsteem on optimeeritud kasutamiseks suure ribalaiusega võrkudes. API on ette nähtud integreerimiseks kolmandate osapoolte infosüsteemidega ja andmevahetuseks reaalajas.
В :
- NTP-protokolli analüsaator on täielikult ümber kirjutatud ja MQTT jaoks on lisatud uus analüsaator. Laiendatud on DNS, RDP, SMB ja TLS analüsaatorite võimalusi. DNS-i jaoks on ette nähtud SPF-kirjete sõelumine ning DNSSEC-i jaoks - RRSIG, DNSKEY, DS, NSEC ja NSEC3 ning nendega seotud sündmuste valik. SMB analüsaatorile lisati tugi SMB 3.x protokollile ja TLS-i jaoks TLS 1.3 tugi;
- Rakendatud on VXLAN-tunnelites edastatavate voogude dekapseldamise tugi;
- Lisatud NFLOG-tüüpi linkide tugi;
- Lisatud võimalus salvestada ekstraktitud andmed logisse UTF8 kodeeringus;
- Skriptikeelele on lisatud anonüümsete funktsioonide sulgemise tugi, lisatud on operaator tabelite loendamiseks võtmeväärtuse vormingus (“for ( võti, väärtus t-s)”), rakendatud on Pythoni stiilis vektorite eraldamise toimingud (“v[2:4]”), pakutakse välja uus struktuur, paraglob, stringimaskide kiireks sobitamiseks suurtes binaarandmetes;
- Kõik viited nimele "bro" failiteedes, sätetes, pakettides, skriptides, nimeruumides ja funktsioonides on asendatud sõnaga "zeek" (vanemate nimede tugi säilitatakse tagasiühilduvuse huvides). Bro-pkg paketihaldur on ümber nimetatud zkg-ks.
Allikas: opennet.ru